브라우저에서 이유 없이 가짜 기술 지원 웹사이트로 이동한 적이 있습니까? 그렇다면 당신은 이미 EITest에 익숙합니다. EITest는 악성 중 가장 혁신적인 전달 캠페인이었습니다. 2017년 Internet Explorer를 통해 가짜 기술 지원으로 사용자를 리디렉션하기 시작하면서 시작되었습니다. 또한 여러 리디렉션에 가짜 크롬 글꼴을 사용했습니다.
이 캠페인은 역사상 가장 크고 정교한 사기 캠페인 중 하나였습니다. 복잡하고 광범위한 인프라 네트워크를 통해 이 사기는 EITest를 제외한 수많은 계획을 이용하여 운영을 실행했습니다. 이 사기의 배후는 방문자를 가짜 기술 지원 사기 및 유해한 웹사이트로 유도하기 위해 단일 기능으로 수백 개의 도메인을 만들고 있습니다.
이 사기의 주요 특징은 다음과 같습니다.
- 트래픽 수익 창출 회사가 제어하는 완전한 봇 네트워크가 사기의 배후에 있습니다.
- 이 사기의 일부인 2800개 이상의 손상된 웹사이트가 있습니다.
- 이 사기를 실행하는 사람들은 매일 이 목적을 위해 100개 이상의 새 도메인을 만듭니다.
EITest 사기
이러한 캠페인이 작동하는 방식은 약간의 변경만 가하면 매우 간단하고 균일합니다. 첫 번째 단계는 방문 페이지입니다. 경우에 따라 페이지가 약간 다를 수 있지만 기능은 동일합니다. 브라우저를 닫을 수 없도록 단순히 브라우저를 제어하려고 합니다. 이것은 그들이 놀라서 화면에 표시된 단계를 따르게 할 것입니다. 사기꾼은 웹 브라우저를 제어할 수 있도록 방문 페이지를 변경하는 경우가 많습니다.
EITest 사기에 대한 방문 페이지(트래픽 배포의 왕)
방문자가 방문 페이지에 언급된 번호로 전화를 걸면 컴퓨터를 원격으로 제어하는 소프트웨어를 설치하라는 요청을 받았습니다. 그런 다음 해커는 방문자의 Windows 서비스와 로그 이벤트를 보여줍니다. 그들은 이것이 감염의 징후인 척 할 것입니다. 방문자를 설득한 후 $100에서 $600 사이의 비용으로 문제를 해결하겠다고 제안합니다. 이 사기는 의심할 여지 없이 트래픽 분배의 왕으로 간주됩니다. .
다양한 다중 리디렉션 메커니즘
이 사기는 방문자를 악성 웹사이트로 리디렉션하기 위해 다양한 방법을 사용했습니다. 어떤 경우에는 기반 시설도 달랐습니다. 이는 배후에서 일하는 해커가 한 명 이상 있다는 사실과 함께 지속됩니다. 조사에 따라 4가지 유형의 리디렉션 기술이 추가로 제공됩니다.
EITest 리디렉션
이것은 방문자를 리디렉션하기 위해 EITest에 감염된 웹사이트를 사용했습니다. EITest에 감염된 웹사이트는 로딩하는 동안 페이지에 자바스크립트를 업로드하는 기능이 있습니다. 2017년부터 이 스크립트는 Firefox, Internet Explorer 또는 Edge와 같은 브라우저에서 작동하고 있습니다. 스크립트가 수행하는 첫 번째 작업은 실제 브라우저에서 실행 중인지 확인하는 것입니다. 완료되면 "popundr"이라는 쿠키를 설정하고 사용자를 잘못된 URL로 전환합니다. 미끼 도메인은 King 서버 범위 내에서 IP 주소 204.155.28.5에 대한 해석을 삽입했습니다. 이 캠페인은 매일 새로운 도메인을 생성합니다. 규칙 내에 존재하는 "/?{6 characters}" 패턴을 쉽게 식별할 수 있습니다. 그러나 패턴은 하루에 4번 이상 바뀝니다.
특정 패턴과 많은 미끼 도메인을 사용하는 이유는 Keitaro 트래픽 분배 시스템을 통해 라우팅할 수 있도록 하기 위해서입니다. URN/admin에서 사용 가능한 IP 주소로 TDS의 패널을 쉽게 볼 수 있습니다. 요청이 최종 페이지에 도달하기 전에 TDS를 통해 요청을 라우팅하는 목적은 트래픽을 더 잘 제어하고 한 번에 여러 캠페인을 관리할 수 있도록 하는 것입니다. 또한 이 URL을 통해 리디렉션하는 사용자를 광범위하게 필터링합니다. 우리가 아는 한 그들은 최소한 리디렉션을 허용하기 전에 요청자의 사용자 에이전트를 확인하고 있습니다. 리디렉션의 경우 다음이 발생합니다. MSIE 태그와 함께 사용자 에이전트로 가짜 EITest URL을 쿼리함으로써 TDS가 원하는 방문 페이지로 302 리디렉션을 보내도록 하기에 충분했습니다.
Crypper 리디렉션
이 방법은 매시간 약 65개의 리디렉션을 생성했습니다. 이러한 리디렉션을 담당하는 웹사이트는 luyengame.com이었습니다. 다음은 리디렉션을 담당하는 PHP 코드입니다.
처음에 PHP는 출력에서 발생하는 모든 오류를 숨긴 다음 방문자의 사용자 에이전트와 리퍼러를 식별합니다. 처음에 코드는 방문자가 정품인지 여부도 확인합니다. 봇이면 작업이 종료됩니다. 또한 방문자가 모바일 장치에 있는지 확인합니다. 방문자가 봇이 아니고 모바일 장치가 아닌 경우 작업을 먼저 시작합니다.
확인 후 코드는 기술 지원 사기를 제공하는 현재 도메인을 가져온 다음 "/index/?2661511868997"에 경로 이름을 추가합니다. 코드는 새로운 URL을 생성한 후 "redirectdd" 함수를 호출하고 스크립트는 roi777.com이 제공하는 도메인을 출력합니다. 완료 시 스크립트는 "15610651_CRYPPER" 쿠키를 설정한 다음 위치를 사용하여 사용자를 리디렉션합니다. . 이 사기는 간단하지만 여러 방문자를 리디렉션하기에 충분히 효과적입니다.
비즈 리디렉션
이 캠페인은 시간당 1,800개 이상의 다중 리디렉션을 생성합니다. 이를 담당한 웹사이트는 myilifestyle.com과 www.fertilitychef.com이며 각각 1199개의 리디렉션과 1091개의 리디렉션을 수행했습니다.
TSS에 추가된 경로 "/index/?2171506271081"을 통해 이 사기를 식별할 수 있습니다. 이 스크립트는 hxxp://5.45.67.97/1/jquery.js.php에서 다른 스크립트를 가져와 스크립트를 실행합니다. 이는 다음 리디렉션으로 이어집니다.
플러그인 리디렉션
이 리디렉션은 시간당 80개 이상의 리디렉션을 생성하며 담당 웹사이트는 Archive-s 54.info입니다. 이러한 다중 리디렉션에 대한 코드는 "역 문자열" 기능을 사용하여 숨겨집니다. 이로 인해 감지하고 이해하기가 더 어렵습니다. 역 문자열 기능을 코드에 다시 적용하면 악성 URL이 모두 드러났습니다. 그들은:
hxxp://www.katiatenti.com/wp-content/plugins/sydney-toolbox/inc/
hxxp://kodmax.com/wp-content/plugins/twitter-widget-pro/lib/
- hxxp
://stefanialeto.it/wp-content/plugins/flexible-lightbox/css/
hxxp://emarketing-immobilier.com/wp-content/plugins/gotmls/safe-load/.
이러한 웹사이트를 방문하면 쿠키를 설정하고 방문자를 TSS의 방문 페이지로 리디렉션하기 시작합니다. 분명히 4개의 웹사이트가 해킹당했습니다.
코드에서 고유한 상수를 검색하면 약 8,000개의 웹사이트가 감염된 것을 찾을 수 있습니다. 방문자를 리디렉션하는 악성 PHP 코드도 모든 쿼리 세부 정보를 텍스트 파일에 기록하고 있었습니다. 텍스트 파일은 동일한 서버에서 사용할 수 있었습니다. 각 쿼리에 대해 정보에는 타임스탬프, IP 주소 및 사용자 에이전트가 포함되었습니다. 데이터를 분석할 때 7,000개 이상의 고유한 리디렉션이 있었습니다. 캠페인이 계속 진행되어 현재에도 여러 리디렉션 수가 증가하고 있습니다.
전문가 리디렉션 위치
일부 웹사이트는 방문자를 "/index/?1641501770611" 경로의 TSS 도메인으로 리디렉션했습니다. 다음은 리디렉션을 위한 코드입니다. 코드를 원래 형식으로 되돌린 후 리디렉션이 표시됩니다. 클라이언트는 hxxp://ads.locationforexpert.com/b.php
에서 URL을 쿼리합니다. . URL의 파일 이름은 자주 변경됩니다. 그런 다음 원격 스크립트는 여러 리디렉션에 대한 URL을 보냅니다.
ContainerRU 리디렉션
이 캠페인은 시간당 300개 이상의 리디렉션을 생성하며 www.cursosortografia.com이 주요 원인 중 하나였습니다. 해커는 base64 인코딩으로 가짜 이미지에 코드를 숨겼습니다.
처음에 코드는 브라우저가 Chrome인지 Firefox인지 확인합니다. 이러한 조건에서 스크립트는 방문자를 페이로드를 제공하는 URL로 리디렉션합니다. 브라우저가 Internet Explorer인 경우 스크립트는 사용자를 URL로 리디렉션합니다. hxxp://div-class-container.ru/index5.php
그런 다음 HTTP 301이 있는 TSS 페이지로 사용자를 리디렉션합니다. 모든 경우에 감염된 도메인이 "edu", "mil" 또는 "gov"로 끝나는 경우 스크립트는 사용자를 리디렉션하지 않습니다.
도어웨이 리디렉션
Doorway Redirections에 대해 알기 위해서는 먼저 Doorways가 무엇인지 알아야 합니다. Doorway 스크립트는 해커가 검색 엔진 크롤러를 속여 블랙햇 SEO 수정을 수행할 수 있도록 하는 숨겨진 PHP 코드입니다. 이 사기에 사용된 출입구는 훨씬 더 발전되어 소유자가 웹사이트에서 무엇이든 할 수 있습니다. 소유자는 콘텐츠를 삽입하거나 웹사이트의 콘텐츠를 수정할 수 있습니다. 대부분의 경우 소유자는 출입구를 PHP 백도어로 업그레이드합니다. archive-s 54.info는 이 사기에 대한 다중 리디렉션이 가장 많은 웹사이트입니다. 나머지는 shareix.com, www.gowatchfreemovies.to, myilifestyle.com, www.primewire.ag, share epo.com, www.fertilitychef.com 및 filenuke.com입니다.
기타 리디렉션
언급된 리디렉션 외에도 인프라는 다른 방식으로도 작동했습니다.
- Chrome 플러그인:일부 리디렉션으로 인해 Chrome 웹 스토어에서 가짜 플러그인이 생성되었습니다. 이 플러그인은 심각한 감염과 다중 리디렉션으로 인해 트래픽을 생성했습니다. Roi777에 속한 백엔드 서버는 모든 트래픽을 담당하는 서버였습니다. 또한 응용 프로그램의 상태를 분류하는 제어판도 있었습니다. 플러그인의 전체 목적은 다중 리디렉션이었습니다. 광고 및 가짜 소프트웨어 설치에 이르기까지 위험한 웹사이트에 이르기까지.
- Android 애플리케이션:이 인프라의 도메인은 특정 Android 앱도 제공했습니다. 페이로드가 다운로드되면 앱이 다른 도메인에 접속합니다. 앱에는 사용자를 악성 광고 및 TSS로 리디렉션하는 기능이 있습니다.
웹 사이트 사용자를 악성 사이트로 리디렉션하는 크립토 맬웨어 웹 사이트 감염 문제에 직면한 경우 자세한 블로그 기사를 확인하십시오. 또한 WordPress, Magento, Drupal 웹사이트에서 암호화폐 채굴 악성코드 해킹을 제거하는 방법에 대한 블로그 게시물을 확인하세요.
Magento 또는 Opencart 스토어가 악성 광고 웹사이트로 리디렉션되거나 WordPress 웹사이트가 악성 페이지로 리디렉션되는 경우 수정 방법에 대한 블로그 게시물을 확인하세요.
전환된 트래픽 분석
다양한 TDS와 TSS 캠페인을 지원하는 서버를 분석한 결과 다양한 악성 활동과 연결된 다양한 유형의 트래픽이 엄청나게 많았습니다. 이 배후의 해커는 여러 웹사이트에 백도어와 웹쉘을 삽입하는 것 외에도 가짜 소프트웨어와 사기에 연루되어 있습니다. 이를 통해 그는 많은 수의 웹사이트를 제어하고 다중 리디렉션을 일으킬 수 있습니다.
스캠 도메인 사용
TLD.TK가 있는 도메인은 하루에 100번 이상 변경됩니다. 30일 동안 29개 이상의 도메인이 기록되었습니다. 가장 일반적인 IP는 다음과 같습니다.
- 35%가 204.155.28.5(킹 서버)로 해결
- 30%는 185.159.83.47(킹 서버)로 해결됩니다.
- 5%는 54.36.151.52(OVH)로 해결됩니다.
PHP 백도어
여러 봇이 Roi777에 속한 서버에 보고했습니다. 총 1,500개 이상의 감염된 웹사이트가 이를 보고했습니다. 서버에 다시 보고하는 웹 사이트에는 두 가지 종류의 백도어가 있습니다. 첫 번째 종류의 백도어는 Doorways였습니다. 서버에서 주입할 콘텐츠를 지속적으로 요청하는 300개 이상의 웹사이트가 있었습니다. 다른 유형의 백도어의 경우 1000개 이상의 감염된 웹사이트가 콘텐츠를 삽입하기 위해 서버에 접속했습니다. 관련된 CMS 유형:
- WordPress- 211
- 오픈카트– 41
- Joomla-19
- 마젠토- 1
- 알 수 없음- 904
다른 유형의 백도어는 코드를 가져오고 실행할 수 있는 기능이 있습니다. 대부분의 코드는 fped8.org/doorways/settings_v2.php로 쿼리했습니다. 이것은 좋은 매개변수가 있는 쿼리에 대해 실행할 코드를 반환합니다. 이를 통해 그들은 출입구를 통해 PHP 셸을 배포할 수 있었습니다.
코드를 디코딩하고 분석한 결과 PHP 스크립트가 hxxp://kost8med.org/get.php
을 쿼리하는 것으로 나타났습니다. 현재 방문자의 사용자 에이전트와 함께 이 방법으로 IP 주소와 페이지를 얻습니다. 따라서 페이지 소유자는 원하는 대로 페이지에 모든 콘텐츠를 삽입하고 리디렉션 웹사이트로 사용할 수 있습니다.
가장 주목할만한 점은 kost8med.org 도메인이 Roi777에 속하는 162.244.35.30으로 해결된다는 것입니다. 코드의 두 번째 부분에는 "p" 매개변수에 올바른 암호가 있는 경우 POST 매개변수의 "c" 필드에 있는 모든 요청을 실행하는 기능이 있었습니다. "p"의 비밀번호는 MD5 해시로 하드코딩된 설정된 비밀번호와 비교하기 전에 두 번 해시되었습니다. WordPress에서 이 백도어는 일반적으로 다음 파일에 있습니다.
1) wp-config.php
2) index.php
3) wp-blog-header.php
4) Footer.php.
감염 벡터
대부분의 경우 악성 코드는 WordPress의 Genesis라는 플러그인의 footer.php 파일에 있습니다. 이 플러그인은 2016년부터 이미 취약한 것으로 간주되었습니다. 그러나 대부분의 다른 플러그인은 brute forcing 및 기타 손상된 플러그인과 같은 다양한 수단에 의해 악용되었습니다.
Analysis
On analyzing the numerous requests to the back-end servers, there were GET requests in the traffic which was interesting. The format of the requests was in such a format:hxxps://wowbelieves.us/tech_supportv2.php?update_domain=<Tech support Scam domain>
. If you replaced the parameter under the “update domain” with a safe domain, you could obtain all the traffic. Thus a change in the parameter resulted in a change of the domains the backdoors were relying on for multiple redirections . However, the domain in the parameter changes several times a day. If changed once, they keep updating the parameter with the domains under their control.
To protect their infrastructure against the changes, they applied a key which is simply hashed with MD5 which was the domain name along with “ropl.” On analyzing the traffic obtained, it was evident that the request made by the IP 89.108.105.13 was excluded. Probably this was the IP of a server that controls the doorways and the infrastructure.
Though the method of the scam suggests that there are several actors behind it, however, the repeated mention of Roi777 makes it a central figure in the scam. Majority of the scripts are reaching out to roi777.com/domain.php for getting the latest domains. Roi777 also has their own website which showcases some success stories of traffic generation.
Conclusion
All the actors behind the screen name Roi777 are trying to get the most traffic by distributing malicious codes and applications. By simply infecting unsuspecting visitors with compromised plugins and extensions they are putting them at risk for earning more money. They are still active and redirecting traffic for monetary gains.
The EITest Redirection was fully responsible in this campaign and is still enjoying the backdoors even after the backend server IPs were revealed. Without a secure website security service, these scripts cannot be removed. Services like Astra can get rid of all the malicious content on the website and protect it against all external threats including harmful plugins and PHP codes.
Image Source:MDNC